Copia
2
1 Texto: Auditoria Informática, un enfoque práctico (piattini y del Peso) Capítulo 8.- Auditoria de Seguridad Física. Preguntas con una respuesta de múltiples opciones La auditoría Física comprende a más de comprobar la existencia de los medios físicos: Comprobar su Funcionalidad Comprobar su Racionalidad Comprobar su Seguridad Todas las Anteriores. Actividades que suelen realizarse al ejecutar un plan de contingencia son: Revisar la potencia eléctrica y sistemas contra incendio Establecer un tiempo critico de reanudación de procesos antes de sufrir perdidas Revisar contratos de seguros que tiene la empresa Revisar elementos de construcción utilizados en edificio. Entre las áreas que el auditor informático prefiere apoyo de peritos tenemos: Infraestructura del edificio Instalaciones del centro de procesamiento de datos Acceso adecuado a los respaldos de datos Administración de redes Entre las fuentes de información para realizar una adecuada auditoria física, el auditor podría no solicitar: Políticas y normas de seguridad de la empresa Informe sobre entradas y salidas del personal Plan de contingencia y valoración de pruebas Ninguna de las anteriores El auditor informático emplea técnicas al realizar su trabajo como: Cámara de video Cuaderno de apuntes Entrevistas a directivos y personal Grabadora de audio Preguntas con respuesta V (Verdadero) o F (Falso) Definir un centro de Proceso alterno es una actividad del plan de contingencia ( V) La observación es una herramienta utilizada por el auditor al realizar su labor ( F ) Organigrama le permite al Auditor conocer el cargo y ubicación del personal ( V) Un auditor informático externo acostumbra efectuar auditorias imprevistas ( F ) Una fase de auditoria es discutir el informe preliminar con responsables del are ( V) Completar la expresión La seguridad física garantiza la integridad de los activos humanos , lógicos y materiales de un centro de procesamiento de datos. Desastre es cualquier evento que al ocurrir interrumpe el normal proceso de una empresa. Los contratos de seguros compensan las perdidas, gastos y responsabilidades para el centro de procesamiento de datos. Los objetivos de la auditoria física son: edificio, instalaciones, equipos y telecomunicaciones, datos, personas . Entre las técnicas de auditoria tenemos: observación, revisión de políticas, entrevista con el personal. Capítulo 9.- Auditoria ofimática Preguntas con una respuesta de múltiples opciones El correo electrónico es una herramienta de oficina considerada, como: Herramienta para la gestión de tareas Herramienta para la gestión de documentos Herramienta de trabajo en grupo Herramienta para la gestión económica Entre los controles de economía, eficacia y eficiencia tenemos: Determinar si la generación del respaldo garantiza la recuperación de información. Determinar el grado de exposición ante virus. Determinar si existen garantías que protejan de accesos no autorizados a la información Determinar el procedimiento de adquisición de equipos y aplicaciones. La política de mantenimiento de equipos y aplicaciones en la empresa se refiere a: Verificar existencia de equipos adquiridos que tengan garantía Comprobar que en contrato se define tiempo máximo de respuestas Comprobar que usuarios conozcan como efectivizar las garantías Todas las anteriores. Al realizar cambios de versiones y aplicaciones, el auditor determina controles como: Existencia de un plan para la formación de usuarios finales Existencia de procedimientos adecuados para adquirir nuevos equipos Existencia de procedimientos adecuados para generar respaldos de información Existencia de un plan para mantenimiento de aplicaciones Entre los controles sobre uso de copias ilegales en la empresa tenemos: Existencia de sistemas de alimentación ininterrumpida Inhabilitación de puertos de entrada y salida Periodicidad con que se realizan las copias de respaldo de información Evaluación de la aplicación desarrollada. Preguntas con respuesta V (Verdadero) o F (Falso) Los procesadores de texto son sistemas de trabajo en grupo (F ) Evaluar cambios de versiones y aplicaciones es un control de eficiencia (V) Verificar si sistema existe se ajusta a necesidades de empresa es un control de seguridad (F ) Por seguridad se deben establecer sistemas que necesitan energía continua (V) Verificar si usuarios tienen documentación suficiente es un control de seguridad (F ) Completar la expresión Escritorio virtual es la pantalla del computador con herramientas necesarias para realizar las actividades de un oficinista. Las dos características de los entornos ofimáticos son: distribución de aplicaciones en la empresa y traslado de responsabilidad sobre controles informáticos al usuario final Un inventario poco fiable posibilita sustracción de equipos informáticos o de licencia de programas contratadas. Cuando personal de cada departamento (no sistemas) desarrolla aplicaciones, el auditor verifica si la metodología y pruebas empleadas se ajustan a lo dispuesto en la empresa. Auditor revisa al generar copias de respaldo: la suficiente periodicidad , correcta asignación de responsabilidades y adecuado almacenamiento de los soportes . Capítulo 10.- Auditoria de la Dirección Preguntas con una respuesta de múltiples opciones Evaluar sistemas a desarrollarse, cambios tecnológicos y recursos a corto plazo, se refiere al: Plan de arquitectura de la información Plan operativo anual Plan de recuperación ante desastres Plan estratégico empresarial Entre las funciones que MENOS realiza un comité de informática tenemos: Controlar el uso eficiente de los recursos tecnológicos por parte del usuario Fijar prioridades de los proyectos informáticos Ser intermediario entre Dpto. informática y usuarios de la empresa Realizar seguimiento a las actividades del Dpto. Informática La ubicación del Dpto. informática en la empresa debe ser normalmente bajo: Área administrativa Área legal Área financiera Ninguna de las anteriores El control sobre la gestión del recurso humano está relacionado con: Distribuir costo según el uso de recursos humanos y tecnológicos Cobertura de seguros para los sistemas informáticos de recursos humanos Revisar rendimiento del empleado en base a estándares Revisar vacaciones acumuladas del recurso humano. En la empresa se debe cumplir normas legales relacionadas con: Coberturas de seguro Seguridad e higiene en el trabajo Propiedad intelectual del software Todas las anteriores Preguntas con respuesta V (Verdadero) o F (Falso) Plan de recuperación ante desastres es afectación del servicio informático por robo ( V ) La dirección de informática es responsable de establecer el comité de informática ( F ) El Dpto. informática debe estar bajo la dirección general ( V ) Los costos tecnológicos en empresa deben ser asumidos por Dirección informática ( V ) El desarrollo del plan estratégico se debe controlar con estándares de rendimiento ( V ) Completar la expresión Plan de recuperación ante desastres evalúa afectación del servicio informático ante incendio, inundación, robo, sabotaje, acto de terrorismo , etc. El Dpto. Informática debe estar bajo la Dirección general y debe tener autoridad e independencia atendiendo a los Dptos. usuarios . El presupuesto económico esta alienado con políticas y procedimientos de empresa, así como planes operativos y estratégicos del dpto. Informática. Conocer los sistemas existentes permite establecer consumo de máquina, líneas empresas y papel utilizado, horas de programación. En la empresa se deben cumplir normas legales relacionadas con propiedad intelectual del software . Capítulo 12.- Auditoria de desarrollo Preguntas con una respuesta de múltiples opciones Entre las etapas del ciclo de vida al desarrollar software tenemos: Mantenimiento. Frank Explotación o uso. Construcción. Fátima Eliminación. Función NO asignada tradicionalmente a la sección Desarrollo: Participación en la elaboración del plan estratégico empresarial y del área. Estudiar nuevos lenguajes, metodologías y estándares para usarlos de ser necesario. Establecer un plan de formación para el personal de la sección. Elaborar un plan de mantenimiento preventivo de equipos tecnológicos. El proyecto normalmente es liderado por: Personal del área de desarrollo. Personal del área afectada por el proyecto. Personal del área de auditoria. Personal del área no afectada por el proyecto. En fase de desarrollo o construcción: Se define procedimientos para que usuarios utilicen bien el nuevo sistema. El sistema debe ser aceptado formalmente por usuarios antes de ser usado. Se define como arquitectura física coherente con el entorno tecnológico elegido. El usuario afectado establece claramente los requisitos del nuevo sistema. En fase de implantación: Se define mecanismos para resolver problemas que se presentan durante el proyecto. Se debe realizar un plan detallado de entrevistas con usuarios del proyecto. Los módulos deben desarrollarse usando técnicas de programación correctas. El usuario acepta formalmente el nuevo sistema. Preguntas con respuesta de V (Verdadero) o F (Falso) La sección desarrollo realiza todo el ciclo de vida del software, incluyendo su uso. (F ) El principal factor de éxito de la informática es mejorar la calidad del software. (V) Personal de la sección desarrollo normalmente lidera los proyectos empresariales. (F ) Los responsables de áreas afectadas por proyectos deben participar en su gestión. (V) Al final del proyecto, recursos humanos y materiales no regresan al Dpto. origen. (F ) Completar la expresión El índice de fracaso en proyectos de desarrollo es sumamente alto, reflejando la inexistencia o mal funcionamiento de controles en este proceso. Desarrollo de nuevos sistemas comprende: planificación , análisis, diseño, construcción e implementación . El plan de formación del personal debe ser de acuerdo con los objetivos tecnológicos de la sección desarrollo. En todo proyecto informático se deben definir objetivos, restricciones y unidades afectadas. En el proyecto deben ser entrevistados los responsables de todas las unidades afectadas por el nuevo sistema informático. Capítulo 14.- Auditoria de base de datos. Preguntas con una respuesta de múltiples opciones. El ciclo de vida al crear una base de datos se compone de varias fases , una de estas no pertenece Estudio de viabilidad y plan de trabajo. Concepción de la base de datos y selección del equipo. Diseño y carga de la base de datos. Mantenimiento de la base de datos Liss Se recomienda una separación de funciones entre: Administrador de la base de datos y administrador de la seguridad. Diseñador de base de datos y quienes cargan la base de datos. Quienes realizan estudio de viabilidad y quienes elaboran un plan de trabajo. Quienes conciben la base de datos y seleccionan el equipo. El diseño de los datos debería ser aprobado por: Los usuarios. Los usuarios, director informático y alta dirección. Administrador de base de datos. Director informático y alta dirección. Analizar el rendimiento de las base de datos para realizar ajustes necesarios NO abarca: Rediseño físico o lógico de la base de datos. Adecuar ciertos parámetros del sistema operativo. Revisión de conocimiento del administrador de base de datos. Acceso de las transacciones a la base de datos. En el proceso de revisión después de la implantación, se evalúa si: Se consiguieron los resultados esperados. Se satisface las necesidades de los usuarios. Los costos y beneficios coinciden con lo previsto. Todas las anteriores. Preguntas con respuesta de V (Verdadero) o F (Falso). La normalización es una técnica de calidad aplicada a las bases de datos . (V ) La falla en un diccionario de datos puede atentar contra integridad de los datos. (F ) En un SGBD normalmente existe un módulo de respaldo y recuperación. (V ) El concepto datawarehouse se refiere a la base de datos operativa. (F ) El usuario puede acceder a los datos sin conocer sintaxis del lenguaje SGBD. (V ) Completar la expresión. Una de las fases del ciclo de vida de una base de datos es el diseño de la base de datos y su proceso de carga , introduciendo o migrando datos. Se recomienda una separación de funciones entre quienes explotan los sistemas y controlan los datos. Al seleccionar servidor para la base de datos se deben considerar las necesidades priorizadas de la empresa y los servicios que ofrecen los distintos SGBD candidata . El administrador de la base de datos es responsable de supervisar el rendimiento e integridad de los sistemas de base de datos. Las bases de datos distribuidas pueden presentar riesgo de seguridad de los datos, si no se establecen pistas de auditoria, que previenen interferencias de actualización, etc. Capítulo 18.- Auditoría de Redes Preguntas con una respuesta de múltiples opciones El modelo común de referencia en redes se llama modelo OSI, que significa: Organización de Estándares Internacionales Operación de Sistemas Integrados Optimización de software interno Interconexión de sistemas abiertos Una de las incidencias que se pueden presentar en las redes por causas tecnológicas, es la alteración de bits, lo cual se detecta y corrige al: Dar un número de secuencia a las tramas Dejar que se corrija por sí mismo Poner al final de la trama un código de redundancia cíclico (CRC) Todas las anteriores Físicamente es posible interpretar la información, existiendo el riesgo de indagación, el cual consiste en: Un mensaje puede ser leído por un tercero Un mensaje falso puede ser enviado por un tercero El contenido del mensaje puede ser alterado por un tercero El mensaje puede ser eliminado por un tercero El concepto de intranet es: Red privada y segura compartida por un conjunto de empresas Red interna, privada y segura de una empresa Red pública e insegura compartida por un conjunto de empresas Red externa y pública compartida por cualquier empresa El gerente de Redes y comunicaciones en una empresa, NO es responsable en general de: Tener un inventario de equipos existentes en la red y normas de conectividad Controlar las comunicaciones, registros de errores y resolución de problemas Evaluar la confidencialidad de los datos transmitidos por la red Evaluar necesidades de la red, selección de equipos y revisión de costos Preguntas con respuesta V (Verdadero) o F (Falso) El modelo OSI significa Organización de Estándares Internacionales (F ) La alteración de bits se detecta y corrige poniendo al final de la trama un CRC (V ) Intranet es una red privada y segura compartida por un conjunto de empresas (F ) Indagación se produce si un mensaje puede ser leído por un tercero (V ) La encriptación de la información asegura que la misma no pueda ser espiada (V ) Completar la expresión Protección y tendido adecuado de cables y líneas de comunicación, evitan los accesos físicos inadecuados. En el plan de recuperación de desastres se debe poner atención a la recuperación de los sistemas de comunicación de los datos. Deben existir técnicas de cifrado de datos si existen riesgos de acceso no autorizado a transmisiones sensibles. Deben existir política que prohíba introducir programas personales o conectar equipos privados a la red local. El software de comunicaciones para permitir el acceso debe exigir código de usuario y contraseñas . Texto: Auditoria en Sistemas Computacionales (Muñoz) Capítulo 10.- Técnicas de evaluación aplicables en Auditoria de Sistemas Computacionales. Preguntas con una respuesta de múltiples opciones Entre las formas de realizar pruebas de implantación No existen: Pruebas piloto Pruebas en paralelo Pruebas algorítmicas Pruebas de aproximaciones sucesivas El auditor debe comprobar que estén disponibles para personal de sistemas, manuales técnicos como: Manuales del perfil de puestos Manuales e instructivos de la operación del sistema Manuales de la Estructura Organizacional Manuales de Recuperación ante Desastres De los elementos mencionados seleccione aquel que es necesario en una acta testimonial: Lugar donde se levanta el acta Descripción de los hechos Aclaraciones y correcciones Todas las anteriores
-
Upload
el-flakito -
Category
Documents
-
view
215 -
download
0
description
coco
Transcript of Copia
1
Texto: Auditoria Informática, un enfoque práctico (piattini y del Peso)Capítulo 8.- Auditoria de Seguridad Física.Preguntas con una respuesta de múltiples opcionesLa auditoría Física comprende a más de comprobar la existencia de los medios físicos:Comprobar su FuncionalidadComprobar su RacionalidadComprobar su SeguridadTodas las Anteriores.Actividades que suelen realizarse al ejecutar un plan de contingencia son:Revisar la potencia eléctrica y sistemas contra incendioEstablecer un tiempo critico de reanudación de procesos antes de sufrir perdidasRevisar contratos de seguros que tiene la empresaRevisar elementos de construcción utilizados en edificio.Entre las áreas que el auditor informático prefiere apoyo de peritos tenemos:Infraestructura del edificioInstalaciones del centro de procesamiento de datosAcceso adecuado a los respaldos de datosAdministración de redesEntre las fuentes de información para realizar una adecuada auditoria física, el auditor podría no solicitar:Políticas y normas de seguridad de la empresaInforme sobre entradas y salidas del personalPlan de contingencia y valoración de pruebasNinguna de las anteriores El auditor informático emplea técnicas al realizar su trabajo como:Cámara de videoCuaderno de apuntesEntrevistas a directivos y personalGrabadora de audioPreguntas con respuesta V (Verdadero) o F (Falso)Definir un centro de Proceso alterno es una actividad del plan de contingencia
( V)La observación es una herramienta utilizada por el auditor al realizar su labor
( F )Organigrama le permite al Auditor conocer el cargo y ubicación del personal
( V)Un auditor informático externo acostumbra efectuar auditorias imprevistas
( F )Una fase de auditoria es discutir el informe preliminar con responsables del are
( V)Completar la expresiónLa seguridad física garantiza la integridad de los activos humanos, lógicos y materiales de un centro de procesamiento de datos.Desastre es cualquier evento que al ocurrir interrumpe el normal proceso de una empresa.Los contratos de seguros compensan las perdidas, gastos y responsabilidades para el centro de procesamiento de datos.Los objetivos de la auditoria física son: edificio, instalaciones, equipos y telecomunicaciones, datos, personas.Entre las técnicas de auditoria tenemos: observación, revisión de políticas, entrevista con el personal.Capítulo 9.- Auditoria ofimática Preguntas con una respuesta de múltiples opcionesEl correo electrónico es una herramienta de oficina considerada, como:Herramienta para la gestión de tareasHerramienta para la gestión de documentosHerramienta de trabajo en grupoHerramienta para la gestión económicaEntre los controles de economía, eficacia y eficiencia tenemos:Determinar si la generación del respaldo garantiza la recuperación de información.Determinar el grado de exposición ante virus.Determinar si existen garantías que protejan de accesos no autorizados a la informaciónDeterminar el procedimiento de adquisición de equipos y aplicaciones.La política de mantenimiento de equipos y aplicaciones en la empresa se refiere a:Verificar existencia de equipos adquiridos que tengan garantíaComprobar que en contrato se define tiempo máximo de respuestasComprobar que usuarios conozcan como efectivizar las garantíasTodas las anteriores.Al realizar cambios de versiones y aplicaciones, el auditor determina controles como:Existencia de un plan para la formación de usuarios finalesExistencia de procedimientos adecuados para adquirir nuevos equiposExistencia de procedimientos adecuados para generar respaldos de informaciónExistencia de un plan para mantenimiento de aplicacionesEntre los controles sobre uso de copias ilegales en la empresa tenemos:Existencia de sistemas de alimentación ininterrumpidaInhabilitación de puertos de entrada y salidaPeriodicidad con que se realizan las copias de respaldo de informaciónEvaluación de la aplicación desarrollada. Preguntas con respuesta V (Verdadero) o F (Falso)Los procesadores de texto son sistemas de trabajo en grupo
(F )Evaluar cambios de versiones y aplicaciones es un control de eficiencia
(V)Verificar si sistema existe se ajusta a necesidades de empresa es un control de seguridad
(F )Por seguridad se deben establecer sistemas que necesitan energía continua
(V)Verificar si usuarios tienen documentación suficiente es un control de seguridad
(F )Completar la expresiónEscritorio virtual es la pantalla del computador con herramientas necesarias para realizar las actividades de un oficinista.Las dos características de los entornos ofimáticos son: distribución de aplicaciones en la empresa y traslado de responsabilidad sobre controles informáticos al usuario finalUn inventario poco fiable posibilita sustracción de equipos informáticos o de licencia de programas contratadas.Cuando personal de cada departamento (no sistemas) desarrolla aplicaciones, el auditor verifica si la metodología y pruebas empleadas se ajustan a lo dispuesto en la empresa. Auditor revisa al generar copias de respaldo: la suficiente periodicidad, correcta asignación de responsabilidades y adecuado almacenamiento de los soportes.
Capítulo 10.- Auditoria de la DirecciónPreguntas con una respuesta de múltiples opcionesEvaluar sistemas a desarrollarse, cambios tecnológicos y recursos a corto plazo, se refiere al:Plan de arquitectura de la informaciónPlan operativo anualPlan de recuperación ante desastres
Plan estratégico empresarialEntre las funciones que MENOS realiza un comité de informática tenemos:Controlar el uso eficiente de los recursos tecnológicos por parte del usuarioFijar prioridades de los proyectos informáticosSer intermediario entre Dpto. informática y usuarios de la empresaRealizar seguimiento a las actividades del Dpto. Informática
La ubicación del Dpto. informática en la empresa debe ser normalmente bajo:Área administrativaÁrea legalÁrea financieraNinguna de las anterioresEl control sobre la gestión del recurso humano está relacionado con:Distribuir costo según el uso de recursos humanos y tecnológicosCobertura de seguros para los sistemas informáticos de recursos humanosRevisar rendimiento del empleado en base a estándaresRevisar vacaciones acumuladas del recurso humano.En la empresa se debe cumplir normas legales relacionadas con:Coberturas de seguroSeguridad e higiene en el trabajoPropiedad intelectual del softwareTodas las anterioresPreguntas con respuesta V (Verdadero) o F (Falso)Plan de recuperación ante desastres es afectación del servicio informático por robo
( V )La dirección de informática es responsable de establecer el comité de informática
( F )El Dpto. informática debe estar bajo la dirección general
( V )Los costos tecnológicos en empresa deben ser asumidos por Dirección informática
( V )El desarrollo del plan estratégico se debe controlar con estándares de rendimiento
( V )Completar la expresiónPlan de recuperación ante desastres evalúa afectación del servicio informático ante incendio, inundación, robo, sabotaje, acto de terrorismo, etc.El Dpto. Informática debe estar bajo la Dirección general y debe tener autoridad e independencia atendiendo a los Dptos. usuarios.El presupuesto económico esta alienado con políticas y procedimientos de empresa, así como planes operativos y estratégicos del dpto. Informática.Conocer los sistemas existentes permite establecer consumo de máquina, líneas empresas y papel utilizado, horas de programación.En la empresa se deben cumplir normas legales relacionadas con propiedad intelectual del software.Capítulo 12.- Auditoria de desarrolloPreguntas con una respuesta de múltiples opcionesEntre las etapas del ciclo de vida al desarrollar software tenemos:Mantenimiento. FrankExplotación o uso. Construcción. FátimaEliminación. Función NO asignada tradicionalmente a la sección Desarrollo:Participación en la elaboración del plan estratégico empresarial y del área.Estudiar nuevos lenguajes, metodologías y estándares para usarlos de ser necesario.Establecer un plan de formación para el personal de la sección. Elaborar un plan de mantenimiento preventivo de equipos tecnológicos.El proyecto normalmente es liderado por:Personal del área de desarrollo.Personal del área afectada por el proyecto.Personal del área de auditoria.Personal del área no afectada por el proyecto.En fase de desarrollo o construcción:Se define procedimientos para que usuarios utilicen bien el nuevo sistema.El sistema debe ser aceptado formalmente por usuarios antes de ser usado.Se define como arquitectura física coherente con el entorno tecnológico elegido.El usuario afectado establece claramente los requisitos del nuevo sistema.En fase de implantación:Se define mecanismos para resolver problemas que se presentan durante el proyecto.Se debe realizar un plan detallado de entrevistas con usuarios del proyecto.Los módulos deben desarrollarse usando técnicas de programación correctas. El usuario acepta formalmente el nuevo sistema.Preguntas con respuesta de V (Verdadero) o F (Falso)La sección desarrollo realiza todo el ciclo de vida del software, incluyendo su uso. (F )El principal factor de éxito de la informática es mejorar la calidad del software. (V)Personal de la sección desarrollo normalmente lidera los proyectos empresariales. (F )Los responsables de áreas afectadas por proyectos deben participar en su gestión. (V)Al final del proyecto, recursos humanos y materiales no regresan al Dpto. origen. (F )Completar la expresión El índice de fracaso en proyectos de desarrollo es sumamente alto, reflejando la inexistencia o mal funcionamiento de controles en este proceso.Desarrollo de nuevos sistemas comprende: planificación, análisis, diseño, construcción e implementación.El plan de formación del personal debe ser de acuerdo con los objetivos tecnológicos de la sección desarrollo.En todo proyecto informático se deben definir objetivos, restricciones y unidades afectadas.En el proyecto deben ser entrevistados los responsables de todas las unidades afectadas por el nuevo sistema informático.
Capítulo 14.- Auditoria de base de datos.Preguntas con una respuesta de múltiples opciones.El ciclo de vida al crear una base de datos se compone de varias fases , una de estas no perteneceEstudio de viabilidad y plan de trabajo.Concepción de la base de datos y selección del equipo.Diseño y carga de la base de datos.Mantenimiento de la base de datos LissSe recomienda una separación de funciones entre:Administrador de la base de datos y administrador de la seguridad.Diseñador de base de datos y quienes cargan la base de datos.Quienes realizan estudio de viabilidad y quienes elaboran un plan de trabajo.Quienes conciben la base de datos y seleccionan el equipo.El diseño de los datos debería ser aprobado por:Los usuarios.Los usuarios, director informático y alta dirección. Administrador de base de datos.Director informático y alta dirección.Analizar el rendimiento de las base de datos para realizar ajustes necesarios NO abarca:
Rediseño físico o lógico de la base de datos.Adecuar ciertos parámetros del sistema operativo.Revisión de conocimiento del administrador de base de datos. Acceso de las transacciones a la base de datos.En el proceso de revisión después de la implantación, se evalúa si:Se consiguieron los resultados esperados.Se satisface las necesidades de los usuarios.Los costos y beneficios coinciden con lo previsto.Todas las anteriores. Preguntas con respuesta de V (Verdadero) o F (Falso).La normalización es una técnica de calidad aplicada a las bases de datos .
(V )La falla en un diccionario de datos puede atentar contra integridad de los datos.
(F )En un SGBD normalmente existe un módulo de respaldo y recuperación.
(V )El concepto datawarehouse se refiere a la base de datos operativa.
(F )El usuario puede acceder a los datos sin conocer sintaxis del lenguaje SGBD.
(V )Completar la expresión.Una de las fases del ciclo de vida de una base de datos es el diseño de la base de datos y su proceso de carga, introduciendo o migrando datos.Se recomienda una separación de funciones entre quienes explotan los sistemas y controlan los datos.Al seleccionar servidor para la base de datos se deben considerar las necesidades priorizadas de la empresa y los servicios que ofrecen los distintos SGBD candidata.El administrador de la base de datos es responsable de supervisar el rendimiento e integridad de los sistemas de base de datos.Las bases de datos distribuidas pueden presentar riesgo de seguridad de los datos, si no se establecen pistas de auditoria, que previenen interferencias de actualización, etc.
Capítulo 18.- Auditoría de RedesPreguntas con una respuesta de múltiples opcionesEl modelo común de referencia en redes se llama modelo OSI, que significa:Organización de Estándares InternacionalesOperación de Sistemas IntegradosOptimización de software internoInterconexión de sistemas abiertosUna de las incidencias que se pueden presentar en las redes por causas tecnológicas, es la alteración de bits, lo cual se detecta y corrige al:Dar un número de secuencia a las tramasDejar que se corrija por sí mismoPoner al final de la trama un código de redundancia cíclico (CRC)Todas las anterioresFísicamente es posible interpretar la información, existiendo el riesgo de indagación, el cual consiste en:Un mensaje puede ser leído por un terceroUn mensaje falso puede ser enviado por un terceroEl contenido del mensaje puede ser alterado por un tercero El mensaje puede ser eliminado por un tercero
El concepto de intranet es:Red privada y segura compartida por un conjunto de empresas Red interna, privada y segura de una empresaRed pública e insegura compartida por un conjunto de empresasRed externa y pública compartida por cualquier empresaEl gerente de Redes y comunicaciones en una empresa, NO es responsable en general de:Tener un inventario de equipos existentes en la red y normas de conectividadControlar las comunicaciones, registros de errores y resolución de problemasEvaluar la confidencialidad de los datos transmitidos por la redEvaluar necesidades de la red, selección de equipos y revisión de costos
Preguntas con respuesta V (Verdadero) o F (Falso)El modelo OSI significa Organización de Estándares Internacionales
(F )La alteración de bits se detecta y corrige poniendo al final de la trama un CRC
(V )Intranet es una red privada y segura compartida por un conjunto de empresas
(F )Indagación se produce si un mensaje puede ser leído por un tercero
(V )La encriptación de la información asegura que la misma no pueda ser espiada
(V )Completar la expresiónProtección y tendido adecuado de cables y líneas de comunicación, evitan los accesos físicos inadecuados.En el plan de recuperación de desastres se debe poner atención a la recuperación de los sistemas de comunicación de los datos.Deben existir técnicas de cifrado de datos si existen riesgos de acceso no autorizado a transmisiones sensibles.Deben existir política que prohíba introducir programas personales o conectar equipos privados a la red local.El software de comunicaciones para permitir el acceso debe exigir código de usuario y contraseñas.
Texto: Auditoria en Sistemas Computacionales (Muñoz)Capítulo 10.- Técnicas de evaluación aplicables en Auditoria de Sistemas Computacionales.Preguntas con una respuesta de múltiples opcionesEntre las formas de realizar pruebas de implantación No existen:Pruebas pilotoPruebas en paraleloPruebas algorítmicasPruebas de aproximaciones sucesivasEl auditor debe comprobar que estén disponibles para personal de sistemas, manuales técnicos como:Manuales del perfil de puestosManuales e instructivos de la operación del sistemaManuales de la Estructura OrganizacionalManuales de Recuperación ante DesastresDe los elementos mencionados seleccione aquel que es necesario en una acta testimonial:Lugar donde se levanta el actaDescripción de los hechosAclaraciones y correccionesTodas las anteriores
Entre los criterios para elaborar parámetros de evaluación en este tipo de matriz, Suficiente se refiere a:Cumplimiento mínimo necesario para realizar lo encomendadoCumplimiento del trabajo satisfactorioCumplimiento del trabajo se realiza con la mayor calidad posibleCumplimiento del trabajo no es satisfactorioEntre los factores de carácter externo, que efectúan comportamiento empresarial, tenemos:EstrategiaBienes y ServiciosTecnologíaValores y costumbresPreguntas con respuestas de V (Verdadero) y F(Falso)1. Inspeccionar sistemas consiste en evaluar y emitir un informe sobre el desarrollo normal de sus funciones y operaciones ( V )2.Confirmación ayuda al auditor a certificar la validez de su dictamen u opinión ( V )3.Comparación consiste en comprobar la veracidad y confiabilidad de los datos ( F )4.En la matriz de evaluación se describe el aspecto que será estudiado y su calificación ( V )5.La tecnología y las estrategias son factores de carácter interno en una empresa ( F )
Completar la expresiónEl examen consiste en analizar la calidad y cumplimiento de funciones, actividades y operaciones realizadas en la empresaUn auditor jamás puede fundamentar sus opiniones ni emitir juicios basados en datos que no estén certificados plenamenteLa revisión documental se aplica al comparar instrucciones de los manuales con el desarrollo de las operaciones y funcionamiento del sistema.La matriz de evaluación contiene seis columnas, la primera describe el aspecto evaluado y las otras cinco contienen un criterio de calificación descendente.La cultura empresarial es el conjunto de conocimiento de cada empleado que contribuye a fortalecer valores, tradiciones y comportamientos del grupoCapítulo 11.- Técnicas Especiales de Auditoria de Sistemas Computacionales.Preguntas con una respuesta de múltiples opcionesLa ponderación se relaciona con:Equilibrar descomposiciones existentes entre: sistemas computacionales con mayor importancia y aquellos con menor importancia.Dar un peso específico a cada parte que será evaluadaBuscar que todas las áreas tengan un valor similar.Todas las anterioresEntre los modelos de simulación usados en la auditoria de sistemas computacionales, en cuales se toma en cuenta el Problema existente:Ciclo de vida de los sistemas, según YourdonAnálisis y diseño, según JacksonMétodo de Análisis y Diseño Estructurado de sistemasFases del Desarrollo según James MartinLa evaluación del diseño lógico del sistema consiste en:Determinar el estado actual del sistema, base de datos y documentaciónDeterminar el estado actual de periféricosDeterminar la distribución del mobiliario y equipos.Determinar estado de las instalaciones eléctricas, de comunicación y de datosAl evaluar la función ergonómica de los sistemas computacionales, NO se considera:Efecto de la iluminaciónEfecto de la alimentación del personalEfecto de mobiliarioEfecto de la aireación ambientalPara el Diagrama del Circulo de Evaluación de sistemas, se permite que el auditor NO utilice:Líneas de Calificación alcanzadaLíneas de separación de Segmentos evaluadosCírculos con calificacionesNinguna de las anterioresPreguntas con respuestas de V (Verdadero) o F(Falso)
1.La guía de evaluación le permite al auditor hacer un seguimiento paso a paso de todos los procedimientos que debe realizar2. La ponderación permite conocer el comportamiento del sistema bajo condiciones que asemejen el ambiente real.3. Plano de instalaciones del centro de cómputo es un modelo que simula flujo de datos4. La evaluación ayuda a comparar el funcionamiento actual de un sistema computacional con su funcionamiento esperado.5. El diagrama de contexto muestra los procesos relacionados con el objetivo principal del sistema a través de rectángulos y flechas
(V )
(F )
(F )
(V )
(V )
Completar la expresiónEn el primer paso de la ponderación se eligen los factores importantes a evaluar y se les asigna un valor porcentual según su importancia.En la evaluación de la gestión administrativa del área informática, se evalúa la existencia y aplicación del perfil de puestos para la selección, ocupación y promoción del personal.El diagrama del círculo de evaluación permite valorar visualmente el comportamiento, cumplimiento y limitaciones de aspectos (documentación, operatividad, etc) de los sistemas.La lista de verificación consiste en detallar aspectos a revisar del área de sistemas y su cumplimiento o no.El diccionario de datos permite determinar de cada campo: su tipo, tamaño y descripción.
![Alejandrabelteton [autoguardado] copia - copia](https://static.fdocuments.ec/doc/165x107/559fdffb1a28ab711b8b457d/alejandrabelteton-autoguardado-copia-copia.jpg)
